L'entreprise Symantec, spécialisée dans la cybersécurité, tire la sonnette d'alarme en ce qui concerne un accès facilité à des millions d'informations privées dans de très nombreuses applications, principalement sous iOS.
La faille proviendrait notamment du réemploi de jetons Amazon Web Services (AWS) valides qui donneraient accès à un éventail d'informations bien plus large que celui pour quoi ils sont initialement prévus.
Un problème lié à la chaîne d'approvisionnement
L'entreprise Symantec a répertorié 1 859 applications, dont 98 % sous iOS, comprenant d'importantes failles de sécurité causées par le réemploi de jetons Amazon Web Services codés en dur. En effet, dans 53 % des applications passées au peigne fin par Symantec, on retrouve le réemploi des mêmes informations d'identification AWS, décuplant de fait la vulnérabilité de ces données. Pour Symantec, le problème vient de la chaîne d'approvisionnement, notamment de kits de développement logiciel (SDK), lors du codage des applications.
Comme l'expose la firme, si le code AWS ne donne l'accès qu'à un seul fichier contenu dans le S3, la vulnérabilité est minime, mais ce n'est pas le cas ici. Parmi les exemples, un SDK employé par une entreprise B2B ne permet pas seulement un accès à sa plateforme pour ses clients, mais à l'ensemble des clés d'infrastructure cloud de cette même entreprise. Selon Symantec, les données de plus de 15 000 grandes et moyennes entreprises qui y sont enregistrées seraient malencontreusement exposées, avec aussi bien les informations relatives aux clients qu'aux salariés, ou encore des dossiers financiers.
Comment en est-on arrivé là ? Symantec explique que « l'entreprise a codé en dur le jeton d'accès AWS pour accéder au service de traduction AWS. Cependant, au lieu de limiter l'utilisation du jeton d'accès codé en dur avec le service cloud de traduction, toute personne disposant du jeton avait un accès total et sans entrave à tous les services cloud AWS de l'entreprise B2B. »
De nombreuses informations sensibles en péril
Bien que cela puisse être majoritairement involontaire de la part des développeurs, le réemploi de ces jetons qui ouvrent un accès total aux données sur des centaines d'applications différentes décuple de manière exponentielle le risque de fuite. Lors de son analyse, Symantec affirme que 47 % des applications passées au crible possèdent des jetons AWS qui ne donnent pas seulement accès aux fichiers souhaités lors du codage, dans un espace cloud privé par exemple, mais bien à des millions de fichiers contenus dans Amazon Simple Storage Service (S3).
D'autres exemples illustrent la gravité de la situation. L'emploi du SDK vulnérable AI Digital Identity par cinq mêmes applications d'établissements bancaires a conduit à l'exposition de données biométriques, ici les empreintes digitales, de plus de 300 000 personnes enregistrées. La bonne nouvelle reste que Symantec a déjà alerté toutes les structures concernées.
Sources : The Hacker News, Symantec
